과정.
회사와 집을 오가며 작업중 어느날 갑자기 VSadd-in 툴바가 설치되어 있음
WinAntivirus 2006 광고 페이지 계속 팝업이나 사용하는 창 레이어로 자꾸 생겨남
VSadd-in 툴바 설치
시작프로그램에
qmrbirsc
winsystems16.exe
추가 됨
Windows\System32\아래
qmrbirsc.dll
winsystems16.exe
urqopqn.dll
sgublnty.dll
khhih.dll
hihhk.ini
hihhk.bak1
iiigd.dll
gdiii.ini
gdiii.bak1
생성 되어 있음
게다가 히든에 시스템 속성까지 가지고 있음
프로세스를 보면
winsystems16.exe
작동중
VSadd-in 툴바는 언인스톨로 삭제 가능
winsystems16.exe 중지후 삭제 가능
IE7 + F-Prot 3.14f를 사용 중 이었으나 차단 및 검색에 실패
안티바이러스를 V3IS2007로 변경
활성중인 exe 및 dll을 검색 및 삭제 가능하나
urqopqn.dll
sgublnty.dll
khhih.dll
hihhk.ini
hihhk.bak1
iiigd.dll
gdiii.ini
gdiii.bak1
은 발견하지 못하고 WinAntivirus 2006에 대한 광고창이 계속 나옴
google에 검색 후 Vundo 계열 이라는 것을 알아냄
HijackThis 1.99.1 설치
VundoFix 2.14로 치료
(VundoFix 과정
0. 삭제할 파일들의 등록정보 입력
1. 윈도우쉘(explorer.exe)를 종료
2. 찌질이 파일들 삭제
3. HijackThis 실행 후 찌질이 파일등 등록
4. 사용자 리부팅
)
윈도우 클리너로 임시 및 인터넷, 쿠키, 프리패치 등등의 파일들 삭제
CCleaner 사용, CleanUp!도 추천
인터넷 애드-스파이웨어, 바이러스 스캔 사이트에서 검사 필!
국내 사이트 소용 없음 -_-
http://www.pandasoftware.com/products/activescan.htm 추천
바이러스 및 애드-스파이 웨어 발견 못함
V3IS2007 삭제 후
Kaspersky Internet Security 6.0 설치
풀 검색 결과
바이러스 및 애드-스파이 웨어 발견 못함
당분간 진돗개 3 체제로 돌입 -_-
결론.
1. 국내 안티바이러스 소용 없음
2005년도 기준 안티바이러스 순위의 100위권 밖에 있어서 신뢰가 가지 않았지만 2007년도에 노턴에서 2004년도 부터 밀던 IS(인터넷 시큐리티)을 탑재하면서 뭔가 좋아졌을까 하고 믿어 봤지만 전혀임. 없으면 불안해 하기라도 하는데 믿게 만들어서 더 위험.
Vundo만 해도 2005년도 9월에 최초 발견되어 계속 발전해가고 있는 녀석인데 우리나라 백신으로는 치료가 불가능 하다는 것이 갑갑하다.
2. 안티바이러스가 가볍고 편하다는 것은 스스로가 위험을 감수해야 하는 것
2003년도에 노트북을 사용하기 시작하면서 가벼운 안티바이러스가 없을까 찾아본 결과. 단연 F-Prot. 2005년도 기준 안티바이러스 순위 10위권 진입하면서 장난감 수준은 아니라는 것을 보여줬고 갠적으로도 웬만하면 추천하는 것이지만 탐색은 좋지만 치료 능력이 믿을 수 없는 수준 -_-;
3. 역시 카스퍼스키
adware/virtumundo 관련된 국내외 글들을 읽다보면 단연 카스퍼스키로는 치료가 가능하다고 하는 글들이 많음.
마치며.
감염후 치료를 위해 글들을 읽어보니 최근에 다시 기승을 vundo가 다시 기승을 부리고 있는 듯 하다. 단순 설치가 아닌 레지스트리와 시스템 디렉토리, 숙주파일, 백업기능(ini. bak1 파일), 로그인시 winlogon.exe에 dll을 등록하여 후킹하는 등 정말 구현하라면 구찮을 기능등을 선보이고 있다. 놀랍다. 어디까지 이런 뻘 짓을 하면서 사람들을 괴롭힐지 UAC와 보호모드가 있는 사용하는 비스타가 갑자기 부럽다는 생각이 든다.
참고 URL
http://forums.techguy.org/security/407292-solved-stuck-both-vundo-iiigd.html
http://kin.naver.com/db/detail.php?d1id=1&dir_id=106&eid=J/rC/yEi4Hv1X2e1yEmS1Twijs6s9Fij&qb=dnVuZG9maXg=
http://skysummer.com/
회사와 집을 오가며 작업중 어느날 갑자기 VSadd-in 툴바가 설치되어 있음
WinAntivirus 2006 광고 페이지 계속 팝업이나 사용하는 창 레이어로 자꾸 생겨남
VSadd-in 툴바 설치
시작프로그램에
qmrbirsc
winsystems16.exe
추가 됨
Windows\System32\아래
qmrbirsc.dll
winsystems16.exe
urqopqn.dll
sgublnty.dll
khhih.dll
hihhk.ini
hihhk.bak1
iiigd.dll
gdiii.ini
gdiii.bak1
생성 되어 있음
게다가 히든에 시스템 속성까지 가지고 있음
프로세스를 보면
winsystems16.exe
작동중
VSadd-in 툴바는 언인스톨로 삭제 가능
winsystems16.exe 중지후 삭제 가능
IE7 + F-Prot 3.14f를 사용 중 이었으나 차단 및 검색에 실패
안티바이러스를 V3IS2007로 변경
활성중인 exe 및 dll을 검색 및 삭제 가능하나
urqopqn.dll
sgublnty.dll
khhih.dll
hihhk.ini
hihhk.bak1
iiigd.dll
gdiii.ini
gdiii.bak1
은 발견하지 못하고 WinAntivirus 2006에 대한 광고창이 계속 나옴
google에 검색 후 Vundo 계열 이라는 것을 알아냄
HijackThis 1.99.1 설치
VundoFix 2.14로 치료
(VundoFix 과정
0. 삭제할 파일들의 등록정보 입력
1. 윈도우쉘(explorer.exe)를 종료
2. 찌질이 파일들 삭제
3. HijackThis 실행 후 찌질이 파일등 등록
4. 사용자 리부팅
)
윈도우 클리너로 임시 및 인터넷, 쿠키, 프리패치 등등의 파일들 삭제
CCleaner 사용, CleanUp!도 추천
인터넷 애드-스파이웨어, 바이러스 스캔 사이트에서 검사 필!
국내 사이트 소용 없음 -_-
http://www.pandasoftware.com/products/activescan.htm 추천
바이러스 및 애드-스파이 웨어 발견 못함
V3IS2007 삭제 후
Kaspersky Internet Security 6.0 설치
풀 검색 결과
바이러스 및 애드-스파이 웨어 발견 못함
당분간 진돗개 3 체제로 돌입 -_-
결론.
1. 국내 안티바이러스 소용 없음
2005년도 기준 안티바이러스 순위의 100위권 밖에 있어서 신뢰가 가지 않았지만 2007년도에 노턴에서 2004년도 부터 밀던 IS(인터넷 시큐리티)을 탑재하면서 뭔가 좋아졌을까 하고 믿어 봤지만 전혀임. 없으면 불안해 하기라도 하는데 믿게 만들어서 더 위험.
Vundo만 해도 2005년도 9월에 최초 발견되어 계속 발전해가고 있는 녀석인데 우리나라 백신으로는 치료가 불가능 하다는 것이 갑갑하다.
2. 안티바이러스가 가볍고 편하다는 것은 스스로가 위험을 감수해야 하는 것
2003년도에 노트북을 사용하기 시작하면서 가벼운 안티바이러스가 없을까 찾아본 결과. 단연 F-Prot. 2005년도 기준 안티바이러스 순위 10위권 진입하면서 장난감 수준은 아니라는 것을 보여줬고 갠적으로도 웬만하면 추천하는 것이지만 탐색은 좋지만 치료 능력이 믿을 수 없는 수준 -_-;
3. 역시 카스퍼스키
adware/virtumundo 관련된 국내외 글들을 읽다보면 단연 카스퍼스키로는 치료가 가능하다고 하는 글들이 많음.
마치며.
감염후 치료를 위해 글들을 읽어보니 최근에 다시 기승을 vundo가 다시 기승을 부리고 있는 듯 하다. 단순 설치가 아닌 레지스트리와 시스템 디렉토리, 숙주파일, 백업기능(ini. bak1 파일), 로그인시 winlogon.exe에 dll을 등록하여 후킹하는 등 정말 구현하라면 구찮을 기능등을 선보이고 있다. 놀랍다. 어디까지 이런 뻘 짓을 하면서 사람들을 괴롭힐지 UAC와 보호모드가 있는 사용하는 비스타가 갑자기 부럽다는 생각이 든다.
참고 URL
http://forums.techguy.org/security/407292-solved-stuck-both-vundo-iiigd.html
http://kin.naver.com/db/detail.php?d1id=1&dir_id=106&eid=J/rC/yEi4Hv1X2e1yEmS1Twijs6s9Fij&qb=dnVuZG9maXg=
http://skysummer.com/
'_undefined' 카테고리의 다른 글
| Step 3) Zend_Search_Lucene (0) | 2007.03.05 |
|---|---|
| Step 2) 너치 온 루씬(Nutch on Lucene) (0) | 2007.03.05 |
| Step 1) 루씬 온 리눅스(Lucene on Linux) (0) | 2007.03.05 |
